<div dir="ltr"><div>Hi,<div><br></div><div>Do you have any recommended value for lifetime of authorization response JWT like the authorization code in RFC 6749?</div></div><br><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div>From RFC 6749, 4.1.2. Authorization Response</div></div><div><div><div><br></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">code</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     REQUIRED.  The authorization code generated by the</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     authorization server.  The authorization code MUST expire</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     shortly after it is issued to mitigate the risk of leaks.  <b>A</b></font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace"><b>     maximum authorization code lifetime of 10 minutes is</b></font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace"><b>     RECOMMENDED.</b>  The client MUST NOT use the authorization code</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     more than once.  If an authorization code is used more than</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     once, the authorization server MUST deny the request and SHOULD</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     revoke (when possible) all tokens previously issued based on</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     that authorization code.  The authorization code is bound to</font></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><font face="monospace, monospace">     the client identifier and redirection URI.</font></div></div></div></blockquote></blockquote><div><div><br></div><div>If you have, it would be great if it is mentioned in the specification.</div><div><br></div><div>Best Regards,</div><div>Takahiko Kawasaki</div><div>Authlete, Inc.</div><div><br></div></div></div>